跳过导航链接 | |
退出打印视图 | |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
|
使用此过程可在安装后阻止网络路由,方法是指定缺省路由器。否则,请在手动配置路由后执行此过程。
注 - 许多网络配置过程都要求禁用路由选择守护进程。因此,您可能已在某个大型配置过程中禁用此守护进程。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
如果服务未运行,则可在此处停止。
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
另请参见
routeadm(1M) 手册页
缺省情况下,Oracle Solaris 将转发广播包。如果您的站点安全策略要求您降低广播泛洪的可能性,请使用此过程更改缺省设置。
注 - 在禁用 _forward_directed_broadcasts 网络属性时,将禁用广播 ping。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
另请参见
ipadm(1M) 手册页
使用此过程可防止散播有关网络拓扑的信息。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
另请参见
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_respond_to_echo_broadcast 和 _respond_to_echo_multicast(ipv4 或 ipv6)"和 ipadm(1M) 手册页。
对于充当其他域的网关的系统(例如防火墙或 VPN 节点),使用此过程可打开严格多宿主。hostmodel 属性可控制 IP 包在多宿主系统上的发送和接收行为。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
另请参见
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"hostmodel(ipv4 或 ipv6)"和 ipadm(1M) 手册页。
有关严格多宿主使用情况的更多信息,请参见如何在隧道模式下使用 IPsec 保护 VPN。
使用此过程可通过控制不完整的暂挂连接数阻止拒绝服务 (denial of service, DOS) 攻击。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
另请参见
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_conn_req_max_q0"和 ipadm(1M) 手册页。
使用此过程可通过控制允许的传入连接数阻止 DOS 攻击。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
另请参见
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_conn_req_max_q"和 ipadm(1M) 手册页。
以下过程设置 TCP 初始序列号生成参数以遵守 RFC 6528。
开始之前
您必须是分配有 solaris.admin.edit/etc.default/inetinit 授权的管理员。缺省情况下,root 角色拥有此授权。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
# pfedit /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
# /usr/sbin/reboot
路由器使用 ICMP 重定向消息通知主机更多指向目标的直接路由。非法的 ICMP 重定向消息可能导致 "man-in-the-middle"(中间人)攻击。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
ICMP 重定向消息可修改主机的路由表且未通过验证。此外,重定向包的处理可增加系统 CPU 需求。
# ipadm set-prop -p _ignore_redirect=1 ipv4 # ipadm set-prop -p _ignore_redirect=1 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 1 1 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 1 1 0 0,1
这些消息包括可显示网络拓扑的一部分的路由表信息。
# ipadm set-prop -p _send_redirects=0 ipv4 # ipadm set-prop -p _send_redirects=0 ipv6 # ipadm show-prop -p _send_redirects ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _send_redirects rw 0 0 1 0,1 # ipadm show-prop -p _send_redirects ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _send_redirects rw 0 0 1 0,1
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_send_redirects(ipv4 或 ipv6)"和 ipadm(1M) 手册页。
许多缺省情况下安全的网络参数是可调的,因此可能已发生变化,不再是缺省值。如果站点条件允许,可将以下可调参数恢复为缺省值。
开始之前
您必须成为分配有 "Network Management"(网络管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
缺省值可阻止来自欺骗性包的 DOS 攻击。
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"forwarding(ipv4 或 ipv6)"。
缺省值可防止散播有关网络拓扑的信息。
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
缺省值可删除系统上的其他 CPU 需求,并防止散播有关网络的信息。
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
缺省值可防止包绕过网络安全措施。源路由包允许包的源建议路由器上配置的路径以外的其他路径。
注 - 可将该参数设置为 1 以用于诊断目的。诊断完成后,将该值变回 0。
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
有关更多信息,请参见《Oracle Solaris 11.1 可调参数参考手册》中的"_rev_src_routes"。
另请参见
ipadm(1M) 手册页